Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch

Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO - Carmen Födisch


Скачать книгу
Dazu ausführlich u.a. Boehme-Neßler, DuD 2016, 419 (419ff.); Härting, ITRB 2016, 36 (37); Härting/Schneider, CR 2015, 819 (822). 138 Hofmann/Johannes, ZD 2017, 221 (224f.) im Hinblick auch auf die Auslegung des Begriffs der Verfügbarkeit i.S.d. Stands der Technik. 139 Vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 273. 140 Vgl. Büllesbach, in: Roßnagel, Handbuch Datenschutzrecht, Kapitel 7.1, Rn. 28. 141 Auf diese wirtschaftliche Werthaltigkeit von Kundendaten stellt auch das BayLDA ab, vgl. Bayerisches Landesamt für Datenschutzaufsicht, Pressemitteilung vom 30.07.2015. 142 Wehmeyer, PinG 2016, 215 (217); zum vormaligen „Listenprivileg“ nach dem BDSG a.F. Härting, Datenschutz-Grundverordnung, Teil B, S. 114f., Rn. 467ff. 143 Die Bezeichnung der Geschäftskundendaten als ‚Lieferantendaten‘ ist insofern zu repressiv und missverständlich, als damit nur eine Art einer Geschäftsbeziehung bezeichnet wird (die der Lieferung von Waren). Vielmehr gelten jegliche Vertragspartner eines Unternehmens allgemein als Geschäftskunden, die nicht Privatkunden sind (Firmenkunden fallen ebenso unter den hier verwendeten Begriff der Geschäftskundendaten). 144 Ausführlich zur Auslegung und der Auswirkungen des Erwägungsgrundes 14 und der Frage, inwieweit die auf eine juristische Person bezogenen Informationen im Hinblick auf den Erwägungsgrund 14 vom Anwendungsbereich der DSGVO ausgeschlossen werden siehe Gola, K&R 2017, 145 (146f.). Der Autor ist der Auffassung, dass der Name, die Rechtsform und die Kontaktdaten der juristischen Person in vertretbarer Weise aus dem Schutzbereich der DSGVO ausgenommen werden können, da Gründe der Praktikabilität und das fehlende Risiko einer gravierenden Persönlichkeitsverletzung diese insbesondere für die Praxis vorteilhafte Einschränkung rechtfertigen. 145 Vgl. Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 15f. 146 Vgl. m.w.N. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG a.F., § 3, Rn. 11; BGH, Urteil vom 08. Februar 1994 – VI ZR 286/93, Rn. 21ff. (juris) = NJW 1994, 1281 (1282); ausführlich Stancke, BB 2013, 1418 (1419ff.) in Bezug auf das BDSG a.F., jedoch gelten diese Grundsätze unter der DSGVO fort, da auch die DSGVO auf die Einbeziehung juristischer Personen in ihrem Anwendungsbereich verzichtet. 147 Conrad, ZD 2016, 1 (1). 148 BAG, Beschluss vom 18. Februar 1986 – 1 ABR 21/84, Rn. 23ff. (juris) = BAGE 51, 143 (147ff.); BAG, Beschluss vom 26. Juli 1994 – 1 ABR 6/94, Rn. 25 (juris) = BAGE 77, 262 (267); Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 27f. 149 Im Einzelnen Gola, in: Gola, DSGVO, Art. 4, Rn. 25; Funk, KSzW 2017, 56 (58); m.w.N. Ashkar/Zieger, ZD 2016, 58 (59). 150 Grützner/Jakob, Compliance von A-Z, Rn. Customer Relationship Management. 151 Auch ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO kann ein CRM-System erfassen, Hamann, BB 2017, 1090 (1091); zum Verzeichnis von Verarbeitungstätigkeiten siehe S. 81. 152 Unternehmen wie bspw. Oracle Corporation oder Salesforce.com sind typische Anbieter solcher CRM-Systeme, vgl. Söbbing, RDV 2016, 120 (120). 153 So wird angenommen, dass unter Berücksichtigung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) die bloße Speicherung der Vertragsdaten der Kunden in einem CRM-System wohl nach Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt werden kann, vgl. Gierschmann, MMR 2018, 7 (8); ausführlich zu den Rechtsgrundlagen im Hinblick auf die Verarbeitung von Kundendaten in einem CRM-System siehe Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 32ff.; Söbbing, RDV 2016, 120 (120ff.) zur Rechtslage nach dem BDSG a.F. 154 Grützner/Jakob, Compliance von A-Z, Rn. Customer Relationship Management. 155 Vgl. Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 1. 156 Vgl. Härting, CR 2017, 724 (725). 157 Vgl. Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 158 Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 715. 159 Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 715. 160 Vgl. Wächter, Datenschutz im Unternehmen, Rn. 51. 161 Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 714. 162 Eine Differenzierung der Daten in Bestands- und Nutzungsdaten, wie es § 14 und § 15 TMG vorsehen, ist nach der DSGVO hingegen nicht erforderlich, da der europäische Gesetzgeber lediglich zwischen ‚einfachen‘ personenbezogenen Daten und besonderen Kategorien personenbezogener unterscheidet. Die Frage, auf welcher Grundlage solche Daten verarbeitet werden dürfen, ist eine andere und kann nicht pauschal beantwortet werden; anders tendierend Härting, Datenschutz-Grundverordnung, Teil B, S. 102, Rn. 421. 163 Auch der Erwerber eines Unternehmens will nach Erhalt der Daten regelmäßig an dieser Vertragsbeziehung zum Kunden festhalten, vgl. Thode, PinG 2016, 26 (26). 164 Finanzdaten gelten gerade nicht als besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO, vgl. Schulz, in: Gola, DSGVO, Art. 9, Rn. 15. 165 Vgl. Härting, CR 2017, 724 (726). 166 Wehmeyer, PinG 2014, 183 (185); auch für den Erwerber eines Unternehmens sind diese Daten wertvoll, da er ebenso ein großes Interesse an einer erneuten Geschäftsbeziehung hat, vgl. Thode, PinG 2016, 26 (26). 167 Vgl. Wehmeyer, PinG 2014, 183 (184). 168 Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO/BDSG, Art. 6, Rn. 52. 169 Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 7. 170 Vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 274. Dass in der DSGVO die Bedeutung von bewertenden und analysierenden Verarbeitungstätigkeiten erkannt wurde, verdeutlicht die Einführung der Legaldefinition des Profilings in Art. 4 Nr. 4 DSGVO und seinen weiteren Voraussetzungen in Art. 22 DSGVO, vgl. ebd. 171 Ausführlich zum Rechtsrahmen des Profilings Artikel-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, WP 251 rev. 01. (bestätigt vom Europäischen Datenschutzausschuss, Endorsement 1/2018 of WP29 Documents vom 25. Mai 2018); Abel, ZD 2018, 304 (304ff.); zu Nutzungsprofilen im Rahmen von online-basierten Dienstleistungen mit Bezug zum TMG (bzw. mit Blick auf den Entwurf der sog. ePrivacy-Verordnung) siehe Schleipfer, ZD 2017, 460 (460ff.); Hennemann, ZUM 2017, 544 (544ff.). 172 Zur datenschutzrechtlichen Zulässigkeit des Scorings Buchner, in: Kühling/Buchner, DSGVO/BDSG, § 31, Rn. 7ff. 173
Скачать книгу